Debians sikkerhedsbulletin
DSA-1371-1 phpwiki -- flere sårbarheder
- Rapporteret den:
- 11. sep 2007
- Berørte pakker:
- phpwiki
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 429201, Fejl 441390.
I Mitres CVE-ordbog: CVE-2007-2024, CVE-2007-2025, CVE-2007-3193. - Yderligere oplysninger:
-
Flere sårbarheder er opdaget i phpWiki, en wikimaskine skrevet i PHP. Projektet Common Vulnerabilities and Exposures har fundet frem til følgende problemer:
- CVE-2007-2024
Man har opdaget at phpWiki udførte utilstrækkelig kontrol af filnavne, hvilket muliggjorde ukontrolleret oplægning af filer.
- CVE-2007-2025
Man har opdaget at phpWiki udførte utilstrækkelig kontrol af filnavne, hvilket muliggjorde ukontrolleret oplægning af filer.
- CVE-2007-3193
Hvis opsætningen mangler et PASSWORD_LENGTH_MINIMUM, som er forskelligt fra nul, kunne phpWiki måske gøre det muligt for fjernangribere at omgå autentificering gennem en tom adgangskode, hvilket fik ldap_bind til at returnere
true
med visse LDAP-implementeringer.
Den gamle stabile distribution (sarge) indeholder ikke phpwiki-pakker.
I den stabile distribution (etch) er disse problemer rettet i version 1.3.12p3-5etch1.
I den ustabile distribution (sid) er disse problemer rettet i version 1.3.12p3-6.1.
Vi anbefaler at du opgraderer din phpwiki-pakke.
- CVE-2007-2024
- Rettet i:
-
Debian GNU/Linux 4.0 (etch)
- Kildekode:
- http://security.debian.org/pool/updates/main/p/phpwiki/phpwiki_1.3.12p3-5etch1.dsc
- http://security.debian.org/pool/updates/main/p/phpwiki/phpwiki_1.3.12p3-5etch1.diff.gz
- http://security.debian.org/pool/updates/main/p/phpwiki/phpwiki_1.3.12p3.orig.tar.gz
- http://security.debian.org/pool/updates/main/p/phpwiki/phpwiki_1.3.12p3-5etch1.diff.gz
- Arkitekturuafhængig komponent:
- http://security.debian.org/pool/updates/main/p/phpwiki/phpwiki_1.3.12p3-5etch1_all.deb
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.